`
javasee
  • 浏览: 966397 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

对反病毒产品你应该知道的几个事实

阅读更多
申明:这里需要强调的是,反病毒产品(包括反间谍产品)是保证计算机安全的一个重要组成部分。本文的主要目的是为了让读者了解到反病毒产品的局限性,以便能更好的保护计算机系统。
我看到许多计算机用户在安全认识上都有着这么一个误区:只要我的系统上安装了一个反病毒产品,就可以高枕无忧,万事大吉了?反病毒产品自然会保护我的系统不受攻击,我的系统现在安全了。
错错错!
在安全领域中有这么一句话:比没有安全更糟糕的是虚假的安全。如果你采取的安全措施 仅仅是安装了一个反病毒软件的话,非常可能,你的系统只是拥有一个虚假的安全。
为什么?
事实一,反病毒产品的工作原理是基于样本文件的特征码扫描。
无论是反病毒软件,还是反间谍软件,工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个Hash,仿真运行(Emulation)时的一段特定指令,等等。
那么,如果反病毒公司没有拿到病毒样本,就无法提供查询病毒的特征代码。有了病毒样本,才有扫描的特征代码。所有反病毒产品,都是基于这种被动式的工作原理。至于炒作的很热的主动式防御,这类技术目前还并不成熟,最大的问题是虚假误报(false positive)。
但是,计算机攻击的目的和模式发展方向是更具有针对性和特定性的攻击。见2006年计算机安全发展最新趋势
· 从大规模网络传播,向小规模受控传播变化。不再是以传播的速度越快越好,而是有意识的将传播的速度放慢,以延迟被安全软件公司发现的时间。
· 从没有特定用户,向针对特定的用户群变化。不再是以感染用户的数目越多也好,而是有意识的针对特定的用户群(如地域,公司等),以降低被安全软件公司发现的机会。
· 从没有特定攻击目的,向有特定的目的变化。不再是简单的要登上报纸的头版,或者是恶作剧,而是有特定的目的,即窃取用户的机密信息,如银号账号,密码等,以获取经济上的利益。
那么不难看出,
局限一:
对于小规模,特定范围传播的病毒(这是计算机病毒发展的最新趋势),反病毒软件公司可能没有得到病毒样本,因此也无法提供特征代码。那么,对这些病毒,反病毒软件就无法检测到。即使反病毒软件公司提供特征代码,与病毒传播也有时间间隔。这段时间里,用户也是不被保护的。
事实二,反病毒产品是运行于操作系统平台上的应用。它无法替代操作系统的核心安全性能。
以Windows系统上的反病毒产品为例。几乎所有的反病毒产品都包括以下两个部分,运行于用户模式(user mode)下的应用界面,和运行于核心模式(kernel mode)下的一个文件系统的驱动程序(file system driver)。一个反病毒产品能看到的系统状态,例如系统中有哪些进程在运行,系统的硬盘有那些文件,系统的注册表(registry)中有哪些配置,都是由操作系统的核心模式提供的。
一个令人担心的趋势就是Windows系统中的Rootkit的发展。所谓Rootkit,简单的说,就是这么一类软件,修改操作系统的工作方式,以达到隐藏特定信息(如系统中有哪些特定的文件,进程等等)的目的。那么,一旦操作系统的核心模式已经被Rootkit攻击,那么,反病毒产品看到的系统的目前工作状态都可能是虚假的信息,又如何能进行有效的扫描呢?
局限二:
对于针对操作系统的核心攻击,如Rootkit,仅依靠反病毒产品,是无法提供有效的保护的。
事实三,反病毒产品针对的是传统的通过文件传播(病毒,间谍软件)的攻击模式。
问题是,病毒,间谍软件,只是对计算机系统的攻击手段的一种。比如说对普通用户而言,网络钓鱼(phishing website),XSS(cross-site scripting)攻击以窃取用户的敏感数据,对企业用户而言,SQL攻击,提升权限攻击(elevation of privilege )等等,都不是反病毒产品所能涵盖的。
局限三:
针对计算机系统的许多攻击手段,如XSS(cross-site scripting)攻击,是反病毒产品不能保护的。
总结:反病毒产品是计算机安全环节中的一个重要组成,但是,它仅仅是其中的一环,有自身的局限性。期待仅仅依靠反病毒产品来保护计算机系统的安全,是不现实的。一个完善的计算机安全系统,需要有其它许多构件支持,如操作系统的安全性能,补丁管理(Patch Management),防火墙,用户教育,物理安全,网络管理,数据库安全等等。
分享到:
评论

相关推荐

    一个真实的病毒世界.pdf

    根据提供的信息,我们可以深入探讨《一个真实的病毒世界》这一书籍中的关键知识点,主要围绕电脑病毒的概念、起源、种类及其对抗措施等几个方面进行详细解析。 ### 一、病毒概述 #### 1. 数字空间的新形态 随着...

    电脑病毒大战阅读答案.pdf

    文章提到了几个历史事件,包括1988年的蠕虫病毒事件,它给美国的电脑网络造成了巨大的经济损失。 1. 电脑病毒的定义是:电脑病毒是能够自我复制的程序,它会抹去原有有用的信息并占用存储空间,同时通过网络系统...

    更新白金免杀远控!绝对经典!

    描述中提到的“刚出来”,暗示了这次更新可能是近期进行的,而“不知道还免不免杀”则涉及到软件的反病毒策略,即是否能够避开安全软件的检测。 远程控制软件,顾名思义,允许用户在远离目标设备的情况下对其进行...

    记事本V1.2《》小张系列

    在使用这个记事本V1.2.exe之前,用户应该了解其可能的功能变化,同时出于安全考虑,可以使用反病毒软件进行扫描,以确保程序的纯净性。如果小张的版本提供了独特的功能或者更好的用户体验,用户可能会从中受益。

    Reversing:逆向工程揭密

    记得第一次做与逆向有关的工作是2000年,当时由于项目的需要,做过一个钩子(hook)程序,用于截获一个第三方控件发出的消息,但是当时还不知道什么是逆向工程。第一次看到“逆向工程”这个词是在2001年的《机械工程...

    RSA 2011:为用户构建起对云的信心.docx

    在专家们的讨论中,有几个关键因素被提及为推动云计算普及的主要动力。首先,技术进步显著,例如数据重复删除技术的运用极大提升了存储效率,而网络带宽的提升则让大规模数据传输变得更加高效,这些都是构建高效云...

    让这只小企鹅,把我的感谢带到你身边.pdf

    文章标题“让这只小企鹅,把我的感谢带到你身边”和描述“信息安全 安全架构 安全人才 金融安全 金融安全”,以及标签“大数据 渗透测试 数据分析 安全防御”所涉及的知识点涉及以下几个方面: 信息安全: 信息安全...

    下一代防火墙设计方案V2.doc

    复杂的蠕虫和邮件病毒诸 如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也 向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供...

    几大主流的数据恢复工具总结

    以下是对几款主流数据恢复工具的详细介绍: 1. **EasyRecovery**:作为一款广受欢迎的硬盘数据恢复工具,EasyRecovery以其强大的功能和易用性著称。它不仅能恢复丢失的文件,还能重建文件系统,避免对原始驱动器...

    打击计算机犯罪新课题计算机取证技术.pdf

    计算机取证过程主要包括以下几个步骤: 1. 证据的早期收集:在犯罪行为发生后,应尽快收集证据,避免证据被篡改或破坏。 2. 证据链管理:确保证据从获取到法庭呈现的全程都有记录,保持证据的完整性和可靠性。 3. 受...

    川汇事业编招聘2020年考试真题及答案解析最全版(1).docx

    【川汇事业编招聘2020年考试】是一份针对事业单位招聘的...以上是对部分题目和相关内容的详细解析,这些题目涵盖了法律、奥运知识、逻辑推理、语言应用、社会学等多个方面,反映了事业单位招聘考试的综合性和广泛性。

    2021-2022计算机二级等级考试试题及答案No.1291.docx

    - **正确做法**:应该使用专业的反病毒软件进行全面扫描和清除。 ### 5. Access数据库中表和数据库的关系 - **关系**:一个数据库文件可以包含多个表,这些表可以通过各种方式相互关联。 - **示例**:在Access中...

    汇编语言学习

    例如,它可以用来编写性能敏感的代码、调试程序、反汇编分析他人软件,以及开发病毒、木马和游戏外挂等。 对于初学者来说,建议先掌握一种高级语言,如C语言,因为这有助于理解编程的基本概念,同时很多汇编语言的...

    安远2019年事业编招聘考试真题及答案解析版(1).docx

    根据提供的文档内容,我们可以从中提炼出以下几个主要的知识点: ### 1. 法律知识点:过错推定责任 - **过错推定责任**是一种法律责任原则,适用于特定情况下,当受害者能够证明自己的损害是由被告的行为引起的时...

    关于防网络诈骗的心得体会(通用5篇).docx

    关于防网络诈骗的心得体会,主要集中在以下几个方面: 1. **诈骗定义与性质**:诈骗是一种非法占有为目的的违法行为,通常通过虚构事实或隐瞒真相来骗取财物。网络诈骗利用网络的匿名性和广泛性,增加了其难以防范...

Global site tag (gtag.js) - Google Analytics